.

“INTRODUCCIÓN A LA SEGURIDAD “INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION”INFORMATICA Y DE LA INFORMACION”

Módulo II:Módulo II:

ELEMENTOS DE NETWORKINGELEMENTOS DE NETWORKING

GISI GISI –– IEEE IEEE –– UTN UTN ((FRCFRC))Facundo N. Oliva CúneoFacundo N. Oliva Cúneo

Modelo de referencia OSI

1980: Incrementos importantes en el número y tamaño de las redes. Problemasocasionados por la rápida expansión.

ISO: Comienza desarrollo de modelo de networking, a partir de esquemas:DECNET, SNA, TCP/IP

1984: ISO libera el Modelo de Referencia OSI.

Modelo de referencia OSI

El Modelo de Referencia OSI (Open System Interconnection) es utilizado por la ISO para describir la comunicación en una

red.

OSI se impuso como el principal modelo para las comunicaciones de red.

Modelo de referencia OSIModelo de referencia OSIBeneficios de un modelo basado en capas:

Reduce la complejidad

Estandariza interface

Facilita la ingeniería modular

Acelera la evolución

Facilita la enseñanza y el aprendizaje

Capas del modelo OSI y sus Funciones:

FÍSICAFÍSICAENLACE DE DATOSENLACE DE DATOS

REDREDTRANSPORTETRANSPORTE

SESIÓNSESIÓNPRESENTACIÓNPRESENTACIÓN

APLICACIÓNAPLICACIÓNProporcionan entrega precisa de datos entreComputadoras

Controlan la entrega físicade datos por la red

Procesos de red a las aplicaciones

Representación de datos

Comunicación entre hosts

Conexiones de extremo a extremo

Direcciones y mejor rutaAcceso al medio

Transmisión binaria

Modelo TCP/IPModelo TCP/IP

Protocolo Control de Transmisión/Protocolo InternetProtocolo Control de Transmisión/Protocolo Internet

CAPAS DE TCP/IP:

APLICACIÓN

TRANSPORTE

INTERNET

ACCESO A LA RED

• Es el estándard abierto de Internet.

• Suite de protocolos desarrollada por una comunidad de investigadores nucleados en ARPANet

• Es la denominación tanto del modelo como del conjunto de protocolos.

• TCP e IP son sólo dos protocolos de la familia, los dos más utilizados y conocidos.

• Es el estándard abierto de Internet.

• Suite de protocolos desarrollada por una comunidad de investigadores nucleados en ARPANet

• Es la denominación tanto del modelo como del conjunto de protocolos.

• TCP e IP son sólo dos protocolos de la familia, los dos más utilizados y conocidos.

Modelo OSI y Modelo TCP/IP

• .

OSI y TCP/IP: Similitudes y Diferencias

SIMILITUDESSe dividen en capas.

Poseen una capa de aplicación, aunque incluyen servicios distintos.Las capas de transporte y red de ambos modelos cumplen

funciones similares

DIFERENCIASTCP/IP combina las funciones de la capa de presentación y de sesión

del modelo OSI en la capa de aplicación.TCP/IP combina la capa de enlace de datos y la capa física de

OSI en una sola capa.OSI se desarrolló antes de que se inventaran los protocolos,

respecto a TCP/IP, los protocolos existían y el modelo fue una descripción de los mismos.

TCP/IP no es general y no resulta apropiado para describir otra pila de protocolos distinta de TCP/IP.

REDES LAN Y WAN

Las redes de datos se pueden dividir en dos grandes categorías:LAN (Local Area Networks – Redes de área local)WAN (Wide Area Networks – Redes de área amplia)

DISPOSITIVOS LAN

Una LAN permite compartir recursos, haciendo un uso eficiente de los mismos. Los diferentes dispositivos LAN interactúan para lograr este fin.

Concentrador o HubPuente o Bridge

Conmutador o SwitchRuteador o Router

GatewayRASPBX

FirewallIDS

DISPOSITIVOS LAN: HUB

.

DISPOSITIVOS LAN: PUENTE

.

DISPOSITIVOS LAN: SWITCH

.

DISPOSITIVOS LAN: ROUTER

.

DISPOSITIVOS LAN: RAS

Remote Access Services (Servicios de Acceso Remoto) es un término utilizado para describir el proceso de conexión entres sistemas remotos, básicamente, entre una estación de trabajo que utiliza la red telefónica pública por medio de un modem, a una red que utiliza un servidor RAS.

DISPOSITIVOS LAN: PBXUna Private Branch Exchange (PBX) es un switch telefónico privado que está situado dentro de la empresa y es propiedad de la misma. Permite conectar a sus usuarios por medio de líneas locales, facilitando las comunicaciones entre ellos sin tener que salir a la red pública y cursando el tráfico externo a través de enlaces troncales proporcionados por una prestataria externa.

DISPOSITIVOS LAN: FIREWALL

Dispositivo (Hardware o Software) que se sitúa entre dos redes de distinto nivel de seguridad, (normalmente, una red interna corporativa y una red externa, típicamente Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra (bloquea) los que no deben ser reenviados, de acuerdo con un criterio preestablecido (reglas).

Firewall

Politicas de AccesoSMTP HTTP

All Destinations

Internal NetworkInternal NetworkExternal NetworkExternal Network

APLICA REGLAS

HTTP

SMTP

DNS Intrusion

Puertos UDP/TCP

SMTP TCP 25

DNS UPD 53

HTTP TCP 80

DISPOSITIVOS LAN: FIREWALLEl propósito de los firewalls es aislar redes, inspeccionando el tráfico entre una y otra, filtrando los paquetes que no cumplen con la política vigente

Están disponibles a través de:

- implementaciones de software,

- como funcionalidad adicional en otro tipo de dispositivo (funciones de firewall en un router) o

- como hardware dedicado (appliance específico).

DISPOSITIVOS LAN: IDS

Un IDS (“Intrusion Detection System” o “Sistema de Detección de Intrusos”) tiene como función detectar tráfico sospechoso y reaccionar enviando alarmas o reconfigurando dispositivos con el objeto de finalizar conexiones.

ETHERNET/IEEE 802.3Tecnología LAN que permite a varios dispositivos comunicarse en la misma red. Desarrollado originalmente por Xerox formó parte del estándar de IEEE 802.3

CARACTERISTICAS:- Utiliza un medio compartido.- CSMA/CD para controlar el acceso al medio:

Transmitir cuando haya algo para transmitir.Repetir la transmisión si ésta falla un tiempo aleatorio después.CRC para evaluar el éxito de la transmisión.Transmisión asincrónica:

- Requiere sincronizarse (al comienzo de la trama).- Soporta múltiples protocolos: IP, IPX, DECNet o AppleTalk, etc.

TRAMA ETHERNET DIV V2

PREAMBLE(8)

DEST(6)

SRC(6)

TYPE(2)

DATA(>46 <1500)

FCS(4)

PREAMBLE: 8 octetos compuestos por 0 y 1 intercalados utilizados para sincronizar una trama.

DESTINATION ADDRESS: Dirección Ethernet hacia donde está dirigida la trama.

SOURCE ADDRESS: Dirección Ethernet desde donde se origina la trama.

TYPE: Indica el protocolo del nivel superior. Los códigos están definidos en estándares.

DATA: Datos a transmitir. Debe superar los 46 bytes para que la trama no sea considerada basura.

FRAME CHECK SEQUENCE (FCS): CRC de 32 bits que controla la integridad de todos los campos excepto PREAMBLE.

DIRECCIONAMIENTO MAC: DIRECCIONES MAC O FISICAS

FLAGS VENDOR ID VENDOR ADDRESS

COMPONENTES DE LADIRECCION MAC:OUI (Organizational Unique Identifier): 24 bits (47 al 24):

FLAGS (2 bits, bits 47 al 46): Tipo de dirección:El bit 47: Bit Individual/Global (I/G):

si 1 trama broadcast o multicastsi 0 trama unicast

El bit 46: Bit Universal/Local (U/L): si 1 dirección administrada localmente

VENDOR ID (22 bits): Código del fabricante de la interfaz. Asignados por la IEEE al fabricante.

VENDOR ADDRESS: 24 bits (43 al 0). Asignados por elfabricante a cada una de sus interfaces.

DIRECCIONAMIENTO MAC

Cuando una estación quiere enviar datos hacia otra estación, debe incluir la dirección de destino en el encabezado de la trama.

Todas las estaciones de la red LAN recibirán esta trama.Sólo la estación que reconoce la dirección de destino

como propia será la que procese la trama.

Colisión y Dominio de Colisión

Colisión: En las redes ethernet, todas las estaciones comparten el mismo medio para la transferencia de datos (comparten el mismo cable físico): si dos estaciones comienzan a transmitir de forma simultánea, las señales eléctricas que se propagan por el cable colisionarán, produciéndose una pérdida de la información en tránsito.

Dominio de Colisión: El área de la red donde las transmisiones pueden colisionar, se denomina "dominio de colisión". Un dominio de colisión incluye todos los medios y dispositivos que conforman el área (estaciones de trabajo, repetidores, hubs, transceptores, medios físicos, etc.).

CSMA/CDCSMA/CD (“Carrier Sense, Multiple Access with Collission Detection” o

“Acceso Múltiple con Detección de portadora y Detección de Colisiones” es el método de acceso al medio de las redes Ethernet.

Conmutación LANLa conmutación LAN está dada por dispositivos de capa 2 (BRIDGE o

SWITCH): Los dispositivos de capas 2 , leen las tramas que son transmitidas en un segmento LAN, y las retransmiten a los demás segmentos sólo si esto es necesario.

MECANISMO DE LA CONMUTACION LAN

Se crean segmentos de red dedicados (conexiones punto a punto) y conecta esos segmentos en una red virtual dentro del switch. Este circuito de red virtual existe sólo cuando dos nodos necesitan comunicarse. Es por eso que se lo denomina circuito virtual – existe sólo cuando es necesario y se establece dentro del switch

TABLA MAC

Los dispositivos de capa 2 (BRIDGE o SWITCH) toman sus decisiones basadas en una tabla donde asocian cada dirección MAC de la red a una interfaz (donde se encuentra conectada). Luego, cuando reciben una trama, leen el encabezado para conocer la dirección MAC destino de la trama. De acuerdo a la dirección destino seleccionará el puerto por el que la reenviarán.

Ventaja de la Conmutación: SegmentaciónEvita congestión: Un switch LAN permite a muchos usuarios comunicarse

en paralelo mediante el uso de circuitos virtuales y segmentos de red dedicados en un entorno libre de colisión.

Maximiza el Ancho de Banda: Esto maximiza el ancho de banda disponible para cada estación de un segmento.

Segmentación: Dominios de Colisión

Segmentación de Dominios de Colisión:

SWITCH

Los dominios de colisión involucran todas las estaciones, dispositivos y medios que forman un segmento donde pueden ocurrir colisiones.

Segmentación: Dominios de Broadcast.Un dominio de broadcastestará definido por todos los medios, estaciones y dispositivos que compartirán broadcasts de capa 2 (uno de los nodos del dominio envía un mensaje y el resto de los nodos de ese dominio lo recibe).

Segmentación de Dominios de Broadcast:

ROUTER

Segmentación: Repaso

Dominios de colisión versus dominios de broadcast:

Segmentación: Repaso

Dominios de colisión versus dominios de broadcast:

Segmentación: Repaso

Dominios de colisión versus dominios de broadcast:

Segmentación: Repaso

Dominios de colisión versus dominios de broadcast:

Equipos de Red: Resumen

Conecta distintas tecnologías de la Capa

Inferior (SI o NO)

Divide Dominios de Broadcasts (SI o NO)

Divide Dominios de Colisión (SI o NO)

Divide o dedica el Ancho de Banda a c/

conexión

Capa del Modelo OSI en que trabaja

RouterPuenteSwitchHub

Equipos de Red: Resumen

.

SISINONOConecta distintas tecnologías de la Capa

Inferior

SINONONODivide Dominios de Broadcasts

SISISINODivide Dominios de Colisión

DEDICADEDICADEDICADIVIDEDivide o dedica el Ancho de Banda a c/

conexión

3 (Red)2 (Enlace de Datos)

2 (Enlace de Datos)

1 (Física)Capa del Modelo OSI en que trabaja

RouterPuenteSwitchHub

Protocolo IP

Implementación más utilizada de los protocolos de capa de red. IP es el protocolo de red que usa Internet. En esta capa, los datos se encapsulan en paquetes (también denominados datagramas)

Características del protocolo IP– Connectionless– No asegura que los paquetes enviados lleguen. Deja

esta tarea a layers superiores.– Maneja el ruteo de los paquetes en la red.– Direccionamiento jerárquico– Fragmentación– Multiplexado de distintos protocolos de layer 3.– TOS (clase de servicio)

Direcciones IPEl direccionamiento IP representa la dirección lógica de un

host y se utiliza para identificarlo.

Características:– Se componen de 4 bytes u octetos (32 bits) (Ej. 10.0.34.125).– Lógicamente se componen de una dirección de red y una dirección de

host en dicha red. La máscara define cuántos bits se dedican para cada parte.

– Una máscara de n bits define un espacio de direccionamiento en una red de 2^(32-n) hosts.

– La máscara se escribe indicando con 1 cuántos bits de la dirección le corresponden a la dirección de red. 255.255.255.0 es equivalente a escribir /24, 255.128.0.0 es equivalente a /9.

NETWORKADDRESS

HOSTADDRESS

n bits m bitsn+m=32

Direcciones IP: ClasesRangos de direcciones con máscaras fijas:

- Clase A: 8 bits de máscara. 1 a 126.- Clase B: 16 bits de máscara: 128 a 191.- Clase C: 24 bits de máscara: 192 a 223.- Clase D: Multicast. 224 a 239.- Clase E: Reservada. 240 a 247

Redes privadas (sin conexión con Internet) de cada clase:

Direcciones Reservadas:La Clase A 127.0.0.0 se reservó para loopback.

La dirección 255.255.255.255 se utiliza para broadcast a nivel IP.

Direcciones IP: SubnetingLas clases definidas originalmente resultaron muy grandes para las

redes existentes en la práctica, por lo tanto se determinó que éstas podían ser partidas por la mitad cuantas veces fuese necesario hasta conseguir una red del tamaño adecuado para cada requerimiento.

Interacción Ethernet IP

– En una red Ethernet no debe haber dos hosts con la misma dirección (el fabricante lo debería garantizar).

– En una red IP no debe haber dos hosts con la misma dirección (el administrador de la red lo debería garantizar).

– Inicialmente podemos asociar una dirección Ethernet (MAC) con una dirección IP. Un caso típico es una workstation.

– Una dirección Ethernet puede estar asociada a más de una dirección IP pero no es válido el caso inverso.

– Dentro de cada máquina existe una tabla, denominada ARP table, que conserva la asociación de cada IP con la MAC (dentro de la misma red Ethernet).

Address Resolution Protocol

Objetivo de ARP: Provee el mecanismo para asociar en forma dinámica una dirección de enlace con una dirección de red conocida. Se utiliza generalmente para asociar MAC con IP en redes Ethernet.

Características del protocolo:– Sorporta varios protocolos de red y protocolos de enlace.– Se distribuye por broadcast. Llega a todos los hosts en el

mismo dominio de broadcast.

ARP Cache– Ha medida que se van averiaguando tuplas IP-MAC las

mismas se almacenan temporariamente en una tabla ARP. Dicha tabla se va purgando periodicamente y las consultas deben realizarse nuevamente.

Paquete ARP

• HT – Hardware type• PT – Protocol type• OP – Operation• HS – Hardware size• PS – Protocol size• Sender Hardware address• Sender Protocol address• Target Hardware address• Target Protocol address

DESTMAC

SRCMAC

TY

HT

PT

HS

PS

SEND.H. ADDR

SEND.P.ADDR

TARG.H.ADDR

TARG.P.ADDR

Ethernet ARP

OP

Dinámica de ARP

• Si la máquina .6 desea comunicarse con la .5 sigue los siguientes pasos:– Se fija si conoce una MAC para 10.1.1.5– Si no la conoce, manda un paquete ARP pidiéndole a la

máquina que responda qué MAC posee.– Si existe la máquina en la misma red de broadcast, esta

responde indicando su MAC.– La respuesta de la .5 se almacena en la tabla ARP para futuro

uso.

10.1.1.0 /24

.7.6.5

ARPARP

ARP

Reply